Documentation Oracle Cloud Infrastructure

Utilisation d'OpenID Connect pour étendre OAuth 2.0

OpenID Connect étend le protocole OAuth 2.0 pour ajouter une couche d'authentification et d'identité simple qui se trouve au-dessus de OAuth 2.0.

Utilisez OpenID Connect lorsque vous souhaitez que vos applications cloud obtiennent des informations d'identité, extraient des détails sur l'événement d'authentification (par exemple, quand, où et comment l'authentification s'est produite) et autorisent l'accès avec connexion unique (SSO) fédéré.

OAuth 2.0 fournit des jetons de sécurité à utiliser lors de l'appel de ressources back-end pour le compte d'un utilisateur. OAuth permet d'accéder aux ressources plutôt que de fournir des informations sur l'authentification elle-même. L'utilisation de OAuth pour l'authentification est comme un gestionnaire d'appartement qui donne à quelqu'un qui veut connaître votre identité une clé temporaire de votre appartement. La clé implique seulement un droit d'entrer dans l'appartement pour une durée spécifique. Cela ne signifie pas que l'individu est le propriétaire.

L'utilisation d'OpenID Connect complète la situation en fournissant aux applications des informations sur l'utilisateur, le contexte de leur authentification et l'accès à leurs informations de profil. OpenID Connect permet aux clients de tous types, y compris les clients Web, mobiles et JavaScript, de demander et de recevoir des informations sur les sessions authentifiées et les utilisateurs finaux. Pour plus d'informations, reportez-vous à OpenID Connect.

Deux concepts sont présentés :

  • Jeton d'ID OpenID Connect : ce jeton contient des informations sur la session authentifiée de l'utilisateur.

  • Adresse UserInfo : cette adresse permet au client d'extraire des attributs supplémentaires sur l'utilisateur.

Implémenter OpenID Connect

Trois actions principales sont requises pour implémenter OpenID Connect :

  1. Obtenir un jeton d'ID OpenID Connect : utilisez un type d'octroi OAuth2 pour demander un jeton d'ID OpenID Connect en incluant la portée openid dans la demande d'autorisation.

    Les cas d'utilisation suivants fournissent des exemples de demandes et de réponses pour obtenir le jeton d'ID.

  2. Valider le jeton d'ID : validez le jeton d'ID pour vous assurer qu'il provient d'un émetteur sécurisé et que le contenu n'a pas été altéré pendant le transit.

    Le cas d'emploi suivant fournit des informations sur le mode et les éléments à valider.

  3. Extraire les informations de profil à partir de l'adresse UserInfo : à l'aide du jeton d'accès OAuth2, accédez à l'adresse UserInfo pour extraire les informations de profil sur l'utilisateur authentifié.

    Le cas d'emploi suivant fournit des exemples de demandes et de réponses pour l'extraction des informations de profil à partir de l'adresse UserInfo.

Jeton d'identité

Un jeton d'identité est un jeton autonome sécurisé par intégrité (au format Jeton Web JSON (JWT)) défini dans la norme OpenID Connect contenant des réclamations relatives à l'utilisateur final. Le jeton d'identité est l'extension principale que OpenID Connect effectue vers OAuth 2.0 pour activer l'authentification dans un domaine d'identité.

Le jeton d'identité JWT se compose de trois composants : un en-tête, une charge utile et la signature numérique. Conformément à la norme JWT, ces trois sections sont codées en Base64URL et séparées par des points.

Remarque

Les demandes OpenID Connect doivent contenir la valeur de portée openid.

OpenID Connect 1.0 est une couche d'identité simple au-dessus du protocole OAuth 2.0. Elle permet à une application client de domaine d'identité IAM (enregistrée en tant que client OAuth 2 avec ID client et clé secrète client) de vérifier l'identité de l'utilisateur final en fonction de l'authentification effectuée par un serveur d'autorisation (AS), et d'obtenir des informations de profil de base sur l'utilisateur final de manière interopérable, de type REST. OpenID Connect permet aux clients de tous types, y compris les clients Web, mobiles et JavaScript, de demander et de recevoir des informations sur les sessions authentifiées et les utilisateurs finaux. Pour plus d'informations, reportez-vous à OpenID Connect.

Nom Valeur
amr Références des méthodes d'authentification. Tableau JSON de chaînes qui sont des identificateurs pour les méthodes d'authentification utilisées dans l'authentification. Par exemple, les valeurs peuvent indiquer que les méthodes d'authentification par mot de passe et par mot de passe à usage unique ont été utilisées.
at_hash OAuth 2 Valeur de hachage de jeton d'accès.
aud Identifie les destinataires auxquels ce jeton d'ID est destiné. Doit être la valeur OAuth 2.0 client_id (selon la spécification OpenID Connect). Il s'agit du nom de client OAuth (app.name) qui effectue la demande. Aud contient également l'émetteur de domaine d'identité IAM, transformant ainsi le type de jeton (IT) en assertion utilisateur de domaine d'identité IAM.
authn_strength* Valeur renvoyée par SSO cloud indiquant la force d'authentification à partir du contexte AuthN.
auth_time Heure (heure UNIX) à laquelle Cloud SSO a réellement authentifié l'utilisateur (en secondes, provenant du contexte AuthN).
azp Partie autorisée. Partie à laquelle le jeton d'ID a été émis. S'il est présent, il DOIT contenir l'ID client OAuth 2.0 de cette partie. Cette réclamation n'est nécessaire que lorsque le jeton d'ID a une seule valeur d'audience et que cette audience est différente de la partie autorisée. Il peut être inclus même lorsque la partie autorisée est la même que le seul public. La valeur azp est une chaîne sensible à la casse qui contient une valeur StringOrURI.
exp Heure d'expiration (heure d'époque UNIX) au plus tard à laquelle le jeton d'ID ne doit pas être accepté pour traitement. Cette valeur doit être identique à session_exp.
iat Heure (heure UNIX) de création du jeton JWT (en secondes). UNIX Epoch Time est un nombre JSON représentant le nombre de secondes entre 1970-01-01T0 :0 :0Z, mesuré en temps universel coordonné (UTC) et la date et l'heure.
iss Principal qui a émis le jeton : https://<domainURL>
jti Identificateur unique généré par le serveur pour l'ID JWT.
nonce Valeur de chaîne utilisée pour associer une session client à un jeton d'ID et pour limiter les attaques de réexécution. Cette valeur est fournie par Cloud Gate.
session_exp* Heure (heure UNIX) d'expiration de la session SSO cloud (secondes, doit être l'expiration de la même session SSO dans le contexte AuthN).
sid ID de session de Cloud SSO (255 caractères ASCII maximum) à partir du contexte AuthN.
sub Identifie l'utilisateur. L'identifiant de sujet est unique localement, n'a jamais été réaffecté et est destiné à être utilisé par le client : ID de connexion utilisateur (255 caractères ASCII maximum). ID de connexion de l'utilisateur à partir du contexte AuthN.
sub_mappingattr* Attribut utilisé pour rechercher le sous-élément dans la banque d'ID.
tok_type* Identifie le type de jeton : IT
user_displayname* Nom d'affichage de l'utilisateur (255 caractères ASCII maximum) à partir du contexte AuthN.
user_csr* Indique (true) que l'utilisateur est un représentant du service client (CSR).
user_id* GUID de domaine d'identité IAM de l'utilisateur à partir du contexte AuthN.
user_lang* Langue privilégiée de l'utilisateur.
user_locale* Environnement local de l'utilisateur.
user_tenantname* Nom du locataire utilisateur (255 caractères ASCII au maximum). Le GUID du locataire n'est spécifiquement pas enregistré dans le jeton
user_tz* Fuseau horaire de l'utilisateur.

Validation de jeton d'identité

Pourquoi valider les jetons ? Lorsque votre application Web vérifie directement les informations d'identification et de connexion, elle vérifie que le nom utilisateur et le mot de passe présentés correspondent à ce que vous gérez. Lorsque vous utilisez une identité basée sur les réclamations, vous sous-traitez ce travail à un fournisseur d'identités.

La responsabilité passe de la vérification des informations d'identification brutes à la vérification que le demandeur a passé par votre fournisseur d'identités préféré et a été authentifié avec succès. Le fournisseur d'identités représente une authentification réussie en émettant un jeton. Avant de pouvoir utiliser les informations ou de vous fier à celles-ci en tant qu'assertion que l'utilisateur a authentifié, vous devez les valider.

OpenID Document de repérage

Le protocole OpenID Connect 1.0 est une couche d'identité simple sur le protocole OAuth 2.0 qui nécessite l'utilisation de plusieurs adresses pour authentifier les utilisateurs et pour demander des ressources comprenant des informations utilisateur, des jetons et des clés publiques. Pour vous aider à découvrir quelles sont ces adresses que vous devez utiliser, OpenID Connect vous permet d'utiliser un document de découverte, qui est un document JSON trouvé à un emplacement connu. Ce document de repérage contient des paires clé/valeur qui fournissent des détails sur la configuration du fournisseur OpenID Connect, y compris les URI de l'autorisation, du jeton, des informations utilisateur et des adresses de clés publiques. Vous pouvez extraire le document de repérage pour le service OpenID Connect de domaine d'identité IAM à l'adresse suivante : https://<domainURL>/.well-known/openid-configuration.

Validation des jetons d'identité

Un jeton d'identité (ID) est un jeton autonome sécurisé par intégrité (au format JSON Web Token) qui contient des demandes concernant l'utilisateur final. Il représente la session d'un utilisateur authentifié. Par conséquent, le jeton doit être validé pour qu'une application puisse faire confiance au contenu du jeton d'ID. Par exemple, si un attaquant malveillant a réexécuté le jeton d'ID d'un utilisateur qu'il avait capturé précédemment, l'application doit détecter que le jeton a été réexécuté ou a été utilisé après son expiration et refuser l'authentification.

Le jeton d'ID est défini dans la norme OpenID Connect et constitue l'extension principale que OpenID Connect apporte à OAuth 2.0 pour activer l'authentification. Les jetons d'ID sont sensibles et peuvent être mal utilisés s'ils sont interceptés. Assurez-vous que ces jetons sont gérés en toute sécurité en les transmettant uniquement via HTTPS et uniquement à l'aide de données POST ou dans des en-têtes de demande. Si vous les stockez sur votre serveur, vous devez également les stocker en toute sécurité.

  1. Vérifiez que la valeur de la demande de public (aud) contient la valeur client_id de l'application. La demande aud (audience) peut contenir un tableau avec plusieurs éléments. Le jeton d'ID doit être rejeté si le jeton d'ID ne répertorie pas le client en tant que public valide ou s'il contient des publics supplémentaires qui ne sont pas approuvés par le client.

  2. Vérifiez que l'heure actuelle est antérieure à l'heure représentée par la demande de délai d'expiration (exp).

  3. Vérifiez que le jeton d'ID est correctement signé par l'émetteur. Les jetons émis par le domaine d'identité sont signés à l'aide de l'un des certificats trouvés à l'URI indiqué dans le champ jwks_uri du document de repérage.

    • Extrayez le certificat public du locataire de l'adresse SigningCert/jwk (par exemple, https://acme.identity.oraclecloud.com/admin/v1/SigningCert/jwk).

      Remarque

      Etant donné que les domaines d'identité changent rarement de clés publiques, vous pouvez mettre en cache les clés publiques et, dans la plupart des cas, effectuer efficacement la validation locale. Cela nécessite de récupérer et d'analyser les certificats et de passer les appels cryptographiques appropriés pour vérifier la signature :

    • Utilisez toutes les bibliothèques JWT disponibles pour valider, par exemple la bibliothèque JWT Nimbus de Connect2id pour Java. Pour obtenir la liste des bibliothèques disponibles, reportez-vous à JWT.

      Remarque

      En cas d'échec de la validation de signature, pour empêcher les réextractions constantes en cas d'attaques avec de faux jetons, la réextraction/remise en cache de la clé publique doit être basée sur un intervalle de temps, tel que 60 minutes, afin que les réextractions ne se produisent que toutes les 60 minutes.

    Exemple

    package sample;
 
import java.net.MalformedURLException;
import java.net.URL;
 
import com.nimbusds.jose.JWSAlgorithm;
import com.nimbusds.jose.jwk.source.JWKSource;
import com.nimbusds.jose.jwk.source.RemoteJWKSet;
import com.nimbusds.jose.proc.JWSKeySelector;
import com.nimbusds.jose.proc.JWSVerificationKeySelector;
import com.nimbusds.jose.proc.SecurityContext;
import com.nimbusds.jwt.JWTClaimsSet;
import com.nimbusds.jwt.proc.ConfigurableJWTProcessor;
import com.nimbusds.jwt.proc.DefaultJWTProcessor;
 
public class TokenValidation {
 
    public static void main(String[] args) {
        try {
            String tokenValue = "eyJ4NXQjUzI1....W9J4oQ";
     
            ConfigurableJWTProcessor jwtProcessor = new DefaultJWTProcessor();
 
            // change t
            JWKSource keySource = new RemoteJWKSet(new URL("https://<domainURL>/admin/v1/SigningCert/jwk"));
 
            // The expected JWS algorithm of the token (agreed out-of-band)
            JWSAlgorithm expectedJWSAlg = JWSAlgorithm.RS256;
 
            // Configure the JWT processor with a key selector to feed matching public
            // RSA keys sourced from the JWK set URL
            JWSKeySelector keySelector = new JWSVerificationKeySelector(expectedJWSAlg, keySource);
            jwtProcessor.setJWSKeySelector(keySelector);
 
            // Process the token
            SecurityContext ctx = null; // optional context parameter, not required here
            JWTClaimsSet claimsSet = jwtProcessor.process(tokenValue, ctx);
            // Print out the token claims set
            System.out.println(claimsSet.toJSONObject());
             
 
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
 
}

  4. Vérifiez que la valeur de la demande d'identificateur d'émetteur (iss) correspond exactement à la valeur de la demande iss (émetteur) : https://<domainURL>/

Interrogation de l'adresse UserInfo

L'adresse UserInfo OpenID Connect est utilisée par une application pour extraire les informations de profil sur l'identité authentifiée. Les applications peuvent utiliser cette adresse pour extraire des informations de profil, des préférences et d'autres informations propres à l'utilisateur.

Le profil OpenID Connect se compose de deux composants :

  • Déclarations décrivant l'utilisateur

  • Adresse UserInfo fournissant un mécanisme permettant d'extraire ces réclamations
    Remarque

    Les réclamations utilisateur peuvent également être présentées à l'intérieur du jeton d'ID afin d'éliminer un rappel lors de l'authentification.

Réclamations du profil utilisateur

L'adresse UserInfo fournit un ensemble de demandes en fonction des portées OAuth2 présentées dans la demande d'authentification. OpenID Connect définit cinq valeurs de portée qui sont mappées avec un ensemble spécifique de revendications par défaut :

Portée OpenID Connect Réclamations retournées

openid

None : indique qu'il s'agit d'une demande OpenID Connect

profil

nom, family_name, given_name, middle_name, surnom, preferred_username, profil, image, site Web, sexe, date de naissance, zoneinfo, paramètres régionaux, updated_at

adresse

adresse

e-mail

email, email_verified

phone

phone_number, phone_number_verified

Le client doit présenter ses informations d'identification et un jeton d'accès. Le jeton d'accès présenté doit contenir la portée openid.

Si une portée est omise (par exemple, si la portée email n'est pas utilisée), la réclamation (email) ne sera pas présente dans les réclamations renvoyées.

Exemple de demande d'adresse UserInfo - Exemple

Une fois que l'application client a authentifié un utilisateur et dispose du jeton d'accès, le client peut ensuite demander à l'adresse UserInfo d'extraire les attributs demandés sur un utilisateur. L'exemple suivant illustre une demande. 

   curl -i
   -H 'Content-Type: application/x-www-form-urlencoded'
   -H 'Authorization: Bearer eyJ4NXQjUzI1....rtApFw'-H 'Accept: */*'
   -H 'Content_Language: en-US'--request GET https://<domainURL>/oauth2/v1/userinfo

Exemple de réponse

Une réponse réussie renvoie une réponse HTTP 200 OK et les réclamations de l'utilisateur au format JSON :

{
"birthdate":"",
"email":"user@example.com",
"email_verified":false,
"family_name":"user",
"gender":"",
"given_name":"user",
"appRoles":[],
"name":"alice alice",
"preferred_username":"user@example.com",
"sub":"user@example.com",
"updated_at":1495136783,"website":""
}

Pour que l'application client puisse faire confiance aux valeurs renvoyées par l'adresse UserInfo (par exemple, en tant que vérification de l'attaque de substitution de jeton), le client doit vérifier que la demande sub renvoyée par la demande d'adresse UserInfo correspond à l'objet du jeton d'ID.

Utilisation du flux de code d'autorisation avec OpenID Connect

Utilisez le flux de code d'autorisation lorsque des clients peuvent gérer en toute sécurité une clé secrète client entre eux et le serveur d'autorisation. Le flux de code d'autorisation renvoie un code d'autorisation au client, qui peut ensuite échanger le code pour un jeton d'ID et un jeton d'accès directement.

Cela vous offre l'avantage de ne pas exposer de jetons à l'agent utilisateur (comme un navigateur Web) et éventuellement à d'autres applications malveillantes ayant accès à l'agent utilisateur. Le serveur d'autorisation peut également authentifier le client avant d'échanger le code d'autorisation pour un jeton d'accès. Le flux de code d'autorisation fonctionne avec les clients confidentiels et les clients publics.

Clients confidentiels

Le flux de code d'autorisation comporte deux étapes :

  1. Demandez le code d'autorisation. Dans cette demande, la valeur du paramètre de portée est openid. Il s'agit d'une valeur de spécification OpenID Connect.

    Exemple de demande

    https://<domainURL>/oauth2/v1/authorize?client_id=<client-id>&response_type=code&redirect_uri=<client-redirect-uri>&scope=openid

    Exemple de réponse

    https://<domainURL>/?code=AQIDBAXv9lZQ....F9NCA=

    • Vous pouvez fournir des valeurs de portée supplémentaires dans vos demandes, par exemple :

      https://<domainURL>/oauth2/v1/authorize?client_id=<client-id>&response_type=code&redirect_uri=<client-redirect-uri>&scope=phone+openid+offline_access+profile+address+email

    • Cette demande contient à la fois openid et une portée de ressource OAuth :

      https://<domainURL>/oauth2/v1/authorize?client_id=<client-id>&response_type=code&redirect_uri=<client-redirect-uri>&scope=http://<domainURL>/api+openid

  2. Demandez le jeton. Le client extrait le paramètre de code de la réponse et effectue la demande de jeton. En outre, le client fournit son ID client et sa clé secrète dans le cadre de l'en-tête Authentification de base.

    Exemple de demande

       curl -i
   -H 'Authorization: Basic ZWE1OGIwNDA0N2ZkNGQ4MTgyYThiYWQ0ZTNkMGFmZjU6ZGMxNGE4MjMtZGU2OC00YWNhLTg1OWUtMWNhZTJmNjQ0NTBi' 
   -H 'Accept: */*'
   --request POST 'https://<domainURL>/oauth2/v1/token' -d 'grant_type=authorization_code&code=AQIDBAXv9lZQ???.jF9NCA'

    Exemple de réponse

    La demande contient à la fois le jeton d'accès et le jeton d'ID.

    {
"access_token":"eyJ4NXQjUzI1???.xhtnbw",
"token_type":"Bearer",
"expires_in":27261,
"id_token":"eyJ4NXQjUzI1???.._XLqUw"
}

Clients publics

Les clients publics ne disposent pas d'informations d'identification, mais d'un identificateur client. Le flux Code d'autorisation comporte deux étapes. Les demandes impliquent une demande GET basée sur un navigateur, puis une demande POST de canal arrière pour obtenir le jeton d'accès.

  1. Demandez le code d'autorisation.

    Exemple de demande 

    GET https://<domainURL>/oauth2/v1/authorize?client_id=<client-id>&response_type=code&redirect_uri=<client-redirect-uri>&scope=openid&nonce=<nonce-value>&state=1234

    Exemple de réponse

    Remarque

    Ces exemples de demande et de réponse sont similaires à la demande et aux réponses du client confidentiel traitées précédemment.
    https://<domainURL>/?code=AQIDBAXv9lZQ....F9NCA=

  2. Demandez le jeton.

    Exemple de demande

    Remarque

    Cette demande est différente de la demande du client confidentiel dans laquelle l'ID client et la clé secrète client sont spécifiés dans l'en-tête Authentification de base. Dans le flux du client public, il n'y a pas d'en-tête d'authentification de base. L'ID client est indiqué dans la charge utile de la demande.
       curl -i
   -H 'Content-Type: application/x-www-form-urlencoded;charset=UTF-8'   
   --request POST https://<domainURL>/oauth2/v1/token 
   -d 'grant_type=authorization_code&code=<authz-code>&reidrect_uri=<client-redirect-uri>&client_id=<client-id>'

    Exemple de réponse 

    {
"access_token":"eyJ4NXQjUzI1???.xhtnbw",
"token_type":"Bearer",
"expires_in":27261,
"id_token":"eyJ4NXQjUzI1???.._XLqUw"
}

Utilisation du flux implicite avec OpenID Connect

Utilisez le flux implicite lorsque vous avez implémenté un client basé sur un navigateur à l'aide d'un langage de script tel que JavaScript. Le jeton d'accès et le jeton d'ID sont renvoyés directement au client, ce qui peut exposer ces jetons à l'utilisateur et aux applications qui ont accès à l'agent utilisateur de l'utilisateur (par exemple, un navigateur Web).

Aucune demande de jeton de canal arrière/de programmation n'est impliquée dans ce flux (comme la demande du client public dans l'exemple de flux de code d'autorisation). Tous les jetons sont renvoyés à partir de l'adresse Authorization et l'adresse token n'est pas utilisée. Le flux implicite fonctionne avec des clients confidentiels, de confiance et publics.
Remarque

Les clients publics ne disposent pas d'informations d'identification, mais uniquement d'un identificateur client.

Les valeurs response_type suivantes sont prises en charge avec le flux implicite :

  • id_token (jeton d'ID)

  • token (Jeton d'accès)

  • id_token token (jeton d'ID et jeton d'accès)

Obtention d'un jeton d'ID

Le flux implicite comporte trois étapes pour obtenir un jeton d'ID :

  1. Demandez le jeton.

    Exemple de demande

    https://<domainURL>/oauth2/v1/authorize?client_id=<client_id>&response_type=id_token&redirect_uri=<client_redirect_uri>&scope=address+openid+profile&nonce=abcdefg

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées)

  3. Réponse avec jeton d'ID

    Exemple de réponse

    Remarque

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#id_token=eyJ4NXQjUzI1.....gF5uyQ

Obtention d'un jeton d'accès

Le flux implicite comporte trois étapes pour obtenir un jeton d'accès :

  1. Demandez le jeton d'accès.

    Exemple de demande 

    https://<domainURL>/oauth2/v1/authorize?client_id=<client_id>&response_type=token&redirect_uri=<client_redirect_uri>&scope=address+openid+profile

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées).

  3. Réponse avec jeton d'accès

    Exemple de réponse

    Remarque

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#access_token=eyJ4NXQjUzI1...4WGvJQ&token_type=Bearer&expires_in=3600

Obtention d'un jeton d'ID et d'un jeton d'accès

Le flux implicite comporte trois étapes pour obtenir à la fois le jeton d'ID et le jeton d'accès :

  1. Demandez le jeton d'ID et le jeton d'accès.

    Exemple de demande
    https://<domainURL>/oauth2/v1/authorize?client_id=<client_id>&response_type=id_token token&redirect_uri=<client_redirect_uri>&scope=address+openid+profile&nonce=abcdefghijkl

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées).

  3. Réponse avec jeton d'accès et jeton d'ID.

    Exemple de réponse
    Remarque

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#access_token=eyJ4NXQjUzI....XWGmeQ&id_token=eyJ4NXQjUzI1....&token_type=Bearer&expires_in=3600

Utilisation du flux hybride avec OpenID Connect

Utilisez le flux hybride lorsque vous souhaitez obtenir des jetons séparément du canal avant et du canal arrière. Par exemple, vous avez un composant de navigateur tel que JavaScript et un composant de serveur back-end tel que Node.js. Le composant de navigateur obtient le code d'autorisation et le jeton d'ID, puis peut personnaliser le contenu de l'interface utilisateur. Le composant back-end obtient le jeton d'accès pour effectuer des appels d'API métier.

Les clients doivent prendre en charge à la fois les demandes et les réponses basées sur un navigateur et les demandes et réponses programmatiques/back-canal pour utiliser le flux hybride. Le flux hybride fonctionne à la fois avec les clients confidentiels et les clients publics. Les valeurs response_type suivantes sont prises en charge avec le flux hybride :

  • code id_token (jeton d'ID)

  • code token (jeton d'accès)

  • code id_token token (code d'autorisation, jeton d'ID et jeton d'accès)

Obtention d'un jeton d'ID

Le flux hybride comporte quatre étapes pour obtenir à la fois le code d'autorisation et le jeton d'ID :

  1. Demandez le code d'autorisation et le jeton d'ID.

    Exemple de demande

    https://<domainURL>/oauth2/v1/authorize?client_id=<client_id>&response_type=code id_token&redirect_uri=<client_redirect_uri>&scope=http://<domainURL>/test+openid+offline_access&nonce=abcdefghijk

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées).

  3. Réponse avec jeton d'ID et code d'autorisation.

    Exemple de réponse

    Remarque

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#code=AQIDBAUrAi0l....F9NCA=&id_token=eyJ4NXQjUzI1....3R8b_Q

  4. L'application client utilise le code d'autorisation et effectue une demande de canal arrière pour obtenir un nouveau jeton d'accès et actualiser les jetons.

    Exemple de demande

       curl -i
   -H 'Authorization: Basic YjA3NTZkNDc5M2QwNDZjNjhjZWVmY2UxZjE4ZGUwMWM6NGYzZjJjN2EtZTBjZC00NzcyLWE5MTYtNjI3ZmExNzA2NWE5'
   -H 'Accept: */*'
   --request POST 'https://<domainURL>/oauth2/v1/token' -d 'grant_type=authorization_code&code=AQIDBAUrAi0l???.CA%3D'

    Exemple de réponse

    {
"access_token":"eyJ4NXQjUzI1....sJ5mCw",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"AQIDBAUwxxoC....tZLvA"
}

Obtention d'un jeton d'accès

Le flux hybride comporte quatre étapes pour obtenir le code d'autorisation et le jeton d'accès :

  1. Demandez le code d'autorisation et le jeton d'accès.

    Exemple de demande 

    https://<domainURL>/oauth2/v1/authorize?client_id=<client_id>&response_type=code token&redirect_uri=<client_redirect_uri>&scope=http://<domainURL>/test

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées).

  3. Réponse avec jeton d'ID et code d'autorisation.

    Exemple de réponse

    Remarque

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#access_token=eyJ4NXQjUzI1....Pudw9A&code=AQIDBAU6d6Ae....F9NCA=&token_type=Bearer&expires_in=3600

  4. L'application client utilise le code d'autorisation et effectue une demande de canal arrière pour obtenir un nouveau jeton d'accès.

    Exemple de demande 
       curl -i
  -H 'Authorization: Basic YjA3NTZkNDc5M2QwNDZjNjhjZWVmY2UxZjE4ZGUwMWM6NGYzZjJjN2EtZTBjZC00NzcyLWE5MTYtNjI3ZmExNzA2NWE5'
   -H 'Accept: */*''
   --request POST 'https://<domainURL>/oauth2/v1/token' -d 'grant_type=authorization_code&code=AQIDBAU6d6Ae...NCA%3D'

    Exemple de réponse 

    {
"access_token":"eyJ4NXQjUzI1....Tgs9LA",
"token_type":"Bearer",
"expires_in":3600
}

Obtention d'un jeton d'ID et d'un jeton d'accès

Le flux hybride comporte quatre étapes pour obtenir le code d'autorisation, le jeton d'ID et le jeton d'accès :

  1. Demandez le code d'autorisation et le jeton d'ID.

    Exemple de demande
    https://<domainURL>/oauth2/v1/authorize?client_id=client_id&response_type=cod id_token token&redirect_uri=client_redirect_uri&scope=http://<domainURL>/test+openid&nonce=abcdaer

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées).

  3. Réponse avec jeton d'ID et jeton d'accès.

    Exemple de réponse
    Remarque

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#access_token=eyJ4NXQjUzI1....sDB7lA&code=AQIDBAVxZzy-....F9NCA=&id_token=eyJ4NXQjUzI1....&token_type=Bearer&expires_in=36004

  4. L'application client utilise le code d'autorisation et effectue une demande de canal arrière pour obtenir un nouveau jeton d'accès.

    Exemple de demande
       curl -i
   -H 'Authorization: Basic YjA3NTZkNDc5M2QwNDZjNjhjZWVmY2UxZjE4ZGUwMWM6NGYzZjJjN2EtZTBjZC00NzcyLWE5MTYtNjI3ZmExNzA2NWE5'
   -H 'Accept: */*' ?request
   POST 'https://<domainURL>/oauth2/v1/token' -d 'grant_type=authorization_code&code=AQIDBAXUbLmS???.NCA%3D'

    Exemple de réponse

    {
"access_token":"eyJ4NXQjUzI1....g52XmQ",
"token_type":"Bearer",
"expires_in":3600,
"id_token":"eyJ4NXQjUzI1....f6JfWA"
}

Utilisation d'OpenID Connect pour la déconnexion

Vous pouvez utiliser OpenID Connect pour les demandes de déconnexion basées sur un navigateur.

Vous pouvez demander une déconnexion de deux manières à l'aide d'OpenID Connect :

  1. Rediriger vers le client qui a lancé la déconnexion.

    Remarque

    Veillez à définir l'URI de réacheminement après déconnexion de l'application client OAuth et à ce que le jeton d'ID soit envoyé dans la demande. Le jeton d'ID contient l'ID client. L'URL de post-déconnexion correspondante de cet ID client est extraite et validée.

    Exemple de demande 

    https://<domainURL>/oauth2/v1/userlogout?post_logout_redirect_uri=http://clienthost:port/myapp/return&state=c3004d28&id_token_hint=<IDToken>

  2. Utilisez la page de destination du locataire.

    Remarque

    Cette option utilise la page de destination du locataire qui a été définie dans les paramètres SSO du locataire.

    Exemple de demande 

    https://<domainURL>/oauth2/v1/userlogout